ramathibodi security & privacy training for health personnel (may 28, 2015)
TRANSCRIPT
1
ใช้ไอทีอย่างปลอดภัยพวกเราสบายใจ
คนไข้ได้รับความคุ้มครอง
นพ.นวนรรน ธีระอัมพรพันธุ์
28 พ.ค. 2558
http://www.slideshare.net/nawanan
2
2546 แพทยศาสตรบณัฑติ (รามาธบิดรีุน่ที ่33)
อาจารย ์ภาควชิาเวชศาสตรช์ุมชนคณะแพทยศาสตรโ์รงพยาบาลรามาธบิดี
ความสนใจ: Health IT, Social Media, Security & Privacy
[email protected]/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะนําตัว
3
Outline
• ทําไมเราต้องแคร์เรือ่ง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูล
• รามาธิบดี กับ Security/Privacy
6
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
7
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
8
ภัย Security กับเมืองไทย
https://www.thaicert.or.th/downloads/files/ThaiCERT_Annual_Report_th_2013.pdf
ThaiCERT (2013)
10
ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-to-hollywood
13
Confidentiality (ข้อมูลความลับ) Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad
14
ผลกระทบ/ความเสียหาย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงนิ และ
การงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององค์กรเสียหาย
15
แหล่งที่มาของการโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ
16
ผลกระทบเมื่อข้อมูลผู้ป่วยรั่วไหล
http://blogs.absolute.com/blog/data-breaches-cost-6-billion-to-healthcare-industry/
22
แนวทางด้าน Security
• User Account Security (Password)
• Mobile Security
• Online Security
• E-mail Security
• PC Security
23
User Account SecuritySo, two informaticianswalk into a bar...
The bouncer says, "What's the password."
One says, "Password?"
The bouncer lets them in.
Credits: @RossMartin & AMIA (2012)
25
ความยาว 8 ตัวอักษรขึ้นไป
ความซับซ้อน: 3 ใน 4 กลุ่มตัวอักษร
Uppercase letters
Lowercase letters
Numbers
Symbols
ไม่มีความหมาย (ป้องกัน “Dictionary Attacks”)
ไม่ใช่ simple patterns (12345678, 11111111)
ไม่เกี่ยวกับข้อมูลส่วนตัวที่คนสนิทอาจรู้ (เช่น วันเกิด
ชื่อคนในครอบครัว ชื่อสัตว์เลี้ยง)
Passwords
28
แล้วจะจํา Password ได้ยังไง?
คิดประโยคภาษาอังกฤษสัก 1 ประโยค
ประโยคนี้ควรมีคํา 8 คําขึ้นไป และควรมีตัวเลข
หรือสัญลักษณ์พิเศษด้วย
ใช้ตัวอักษรตัวแรกของแต่ละคํา เป็น Password
29
ตัวอย่างการตั้ง Password
http://www.thedigitalshift.com/2012/05/ebooks/amazon-offers-harry-potter-for-free-through-lending-library/
35
Logout After Use
อย่าลืม Logout หลังใช้งานเสมอ
โดยเฉพาะเครื่องสาธารณะ
(หากไม่อยู่ที่หน้าจอ แม้เพียงชั่วครู่
ให้ Lock Screen เสมอ)
37
Mobile Security
ตั้ง PIN สําหรับ Lock Screen เอาไว้
ไม่เก็บข้อมูลสําคัญเอาไว้
ระวังไม่ให้สูญหาย หากสูญหายรีบแจ้งระงับ
38
Online (Shopping) Security
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Online-Shopping-Tips.jpg
ดูแลบัตรเครดิต และข้อมูล
หมายเลขบัตรให้ดี
ใช้เฉพาะกับเว็บที่เชื่อถือได้
สมัครบริการ SMS แจ้ง
เตือนเมื่อมีการรูดบัตร
ดู statement และ
ตรวจสอบธุรกรรมเสมอ
41
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
42
E-mail & Online Security (Phishing)
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing.jpg
51
ลักษณะสําคัญที่ควรสงสัย Phishing
Grammar ห่วยแตก
ตัวสะกดผิดเยอะพยายามอย่างยิ่งให้เปิดไฟล์แนบ หรือกด link
หรือตอบเมล แต่ไม่ค่อยให้รายละเอียด
E-mail ที่มาจากคนรู้จัก ไม่ได้ปลอดภัยเสมอไป
53
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
54
PC Security, Virus & Malware
https://www.thaicert.or.th/downloads/files/info_ThaiCERT_Phishing_Malicious-Code.jpg
56
Virus/Malware Attack &
Windows Update:
เรื่องเล่าจากบทบาท
Chief IT Admin รามาธิบดี
(ที่ต้องดูแลระบบล่ม)
58
หลักจริยธรรมที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทําอันตรายต่อผู้ป่วย)
“First, Do No Harm.”
59
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...http://en.wikipedia.org/wiki/Hippocratic_Oath
60
กฎหมายที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนําไปเปิดเผยในประการที่น่าจะทําให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเปน็ไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอํานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมลูข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกีย่วกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้
61
ประมวลกฎหมายอาญา• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเปน็แพทย์ เภสัชกร
คนจําหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย
ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่
น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจําคุกไม่เกิน
หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจําทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย
ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น
ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ
เช่นเดียวกัน
62
คําประกาศสิทธิผู้ป่วย
• เพื่อให้ความสัมพันธ์ระหว่างผู้ประกอบวิชาชีพด้านสุขภาพกับผู้ป่วย ตั้งอยู่บนพื้นฐานของความเข้าใจอันดีและเป็นที่ไว้วางใจซึ่งกันและกัน แพทยสภา สภาการ
พยาบาล สภาเภสัชกรรม ทันตแพทยสภา คณะกรรมการควบคุมการประกอบโรคศิลปะ จึงได้ร่วมกันออกประกาศรับรองสิทธิของผู้ป่วยไว ้ดังต่อไปนี้
1. ผู้ป่วยทุกคนมีสิทธิพื้นฐานที่จะได้รับบริการด้านสุขภาพ ตามที่บัญญตัิไว้ในรัฐธรรมนูญ
2. ผู้ป่วยมีสิทธิที่จะได้รับบริการจากผู้ประกอบวิชาชีพด้านสุขภาพโดยไม่มกีารเลือกปฏิบัติ เนื่องจากความแตกต่างด้านฐานะ เชื้อชาติ สัญชาติ ศาสนา สังคม ลัทธิ
การเมือง เพศ อายุ และ ลักษณะของความเจ็บป่วย
3. ผู้ป่วยที่ขอรับบริการด้านสุขภาพมีสิทธิที่จะได้รับทราบข้อมูลอย่างเพียงพอ และเข้าใจชัดเจน จากผู้ประกอบวิชาชีพด้านสุขภาพเพื่อให้ผู้ป่วยสามารถเลือกตัดสินใจ
ในการยินยอมหรือไม่ยินยอมให้ผู้ประกอบวิชาชีพด้านสุขภาพปฏิบัติต่อตน เว้นแต่เป็นการช่วยเหลือรีบด่วนหรือ จําเป็น
4. ผู้ป่วยที่อยู่ในภาวะเสี่ยงอันตรายถึงชีวิต มีสิทธิที่จะได้รับการช่วยเหลือรีบด่วนจากผู้ประกอบวิชาชีพด้านสุขภาพโดยทันทีตามความจําเป็นแก่กรณี โดยไม่คํานึงว่า
ผู้ป่วยจะร้อง ขอความช่วยเหลือหรือไม่
5. ผู้ป่วยมีสิทธิที่จะได้รับทราบชื่อ สกุล และประเภทของผู้ประกอบวิชาชีพด้านสุขภาพที่เป็น ผู้ให้บริการแก่ตน
6. ผู้ป่วยมีสิทธิที่จะขอความเห็นจากผู้ประกอบวิชาชีพด้านสุขภาพอื่น ที่มิได้เป็นผู้ให้บริ การแก่ตน และมีสิทธิในการขอเปลี่ยนผู้ให้บริการ และสถานบริการได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย
8. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลอย่างครบถ้วน ในการตัดสินใจเข้าร่วมหรือถอนตัวจากการเป็นผู้ถูกทดลองในการทําวิจัยของผู้ประกอบวิชาชีพด้านสุขภาพ
9. ผู้ป่วยมีสิทธิที่จะได้รับทราบข้อมูลเกี่ยวกับการรักษาพยาบาลเฉพาะของตนที่ปรากฏใน เวชระเบียนเมื่อร้องขอ ทั้งนี้ ข้อมูลดังกล่าวต้องไม่เป็นการละเมิดสิทธิ
ส่วนตัวของบุคคลอื่น
10.บิดา มารดา หรือผู้แทนโดยชอบธรรม อาจใช้สิทธิแทนผู้ป่วยที่เป็นเด็กอายุยังไม่เกิน สิบแปดปีบริบูรณ์ ผู้บกพร่องทางกายหรือจิต ซึ่งไม่สามารถใช้สิทธิด้วยตนเอง
ได้
7. ผู้ป่วยมีสิทธิที่จะได้รับการปกปิดข้อมูลเกี่ยวกับตนเอง
จากผู้ประกอบวิชาชีพด้านสุขภาพโดยเคร่งครัด เว้นแต่
จะได้รับความยินยอมจากผู้ป่วยหรือการปฏิบัติหน้าที่
ตามกฎหมาย
64
ข้อความจริง บน
• "อาจารย์ครบั เมื่อวาน ผมออก OPD เจอ คุณ
... คนไข้... ที่อาจารย์ผ่าไปแล้ว มา ฉายรังสีต่อ
ที่... ตอนนี้ Happy ดี ไม่ค่อยปวด เดินได้สบาย
คนไข้ฝากขอบคุณอาจารย์อีกครัง้ -- อีกอย่าง
คนไข้ช่วงนี้ไม่ค่อยสะดวกเลยไม่ได้ไป กทม.
บอกว่าถ้าพร้อมจะไป Follow-up กับอาจารย์
ครับ"
ข้อมูลผู้ป่วย บน Social Media
65
แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
67
http://intranet.mahidol/op/orla/law/index.php
/announcement/146-2556/770-social-network
นโยบายด้าน Social Media ของมหาวิทยาลัยมหิดล
68
• ข้อความบน Social Network สามารถเข้าถึงได้โดยสาธารณะ
ผู้เผยแพร่ต้องรับผิดชอบ ทั้งทางสังคมและกฎหมาย และอาจ
ส่งผลกระทบต่อชื่อเสียง การทํางาน และวิชาชีพของตน
MU Social Media Policy
69
• บุคลากรทางการแพทย์หรือผู้ให้บริการสุขภาพ
– ระวังการใช้ Social Network ในการปฏิสัมพันธ์กับผู้ปว่ย
– ปฏิบัติตามจริยธรรมของวิชาชีพ
– ระวังเรื่องความเป็นส่วนตัว (Privacy) และความลับของข้อมูล
ผู้ป่วย
– การเผยแพร่ข้อมูล/ภาพผู้ป่วย เพื่อการศึกษา ต้องขออนุญาตผู้ป่วย
ก่อนเสมอ และลบข้อมูลที่เป็น identifiers ทั้งหมด (เช่น ชื่อ, HN,
ภาพใบหน้า หรือ ID อื่นๆ) ยกเว้นผู้ปว่ยอนุญาต (รวมถึงกรณีการ
โพสต์ใน closed groups ด้วย)
• ตั้งค่า Privacy Settings ให้เหมาะสม
MU Social Media Policy
70
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อมูลใน Line group มีคนเห็นหลายคน
• ข้อมูลถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทําอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network ไม่ได้เข้ารหัส
• ข้อมูลที่เก็บใน server ของ Line ทางบริษัทเข้าถึงได้ และ
อาจถูก hack ได้
• มีคนเดา Password ได้
71
ทางออกสําหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล ถ้าเหมาะสม
• หลีกเลี่ยงการระบุหรือ include ชื่อ, HN, เลขที่เตียง หรือ
ข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้งในภาพ image)
• ใช้ app ที่ปลอดภัยกว่า
• Limit คนที่เข้าถึง
(เช่น ไม่คุยผ่าน Line group)
• ใช้อย่างปลอดภัย (Password, ดูแลอุปกรณ์ไว้กับตัว,
เช็ค malware ฯลฯ)
72
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏบิัติของผู้ได้รับอนุญาตให้เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ปว่ย พ.ศ. 2556
• ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของคณะฯ พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทกึภาพและเสียงในโรงพยาบาลสังกัดของคณะฯ พ.ศ. 2557
ระเบียบต่างๆ ของคณะฯ ด้าน Information Security
76
Summary of Talk
• ทําไมเราต้องแคร์เรือ่ง Security & Privacy?
• Security/Privacy กับข้อมูลผู้ป่วย
• แนวปฏิบัติด้าน Security ของระบบ
• แนวปฏิบัติด้าน Privacy ของข้อมูล
• รามาธิบดี กับ Security/Privacy